Untersuchen von Microsoft Entra-Anmeldeprotokollen
Folgende Tabellen können mit KQL abgefragt werden, um eine Anmeldeuntersuchung (einschließlich ausgewerteter Richtlinien für bedingten Zugriff) durchzuführen:
| Standort | Tabelle |
|---|---|
| Microsoft Defender XDR-Bedrohungssuche | AADSignInEventsBeta |
| Microsoft Entra ID-Protokollanalysen | SigninLogs |
Die Anmeldeprotokolle der Microsoft Entra-Überwachung ermöglichen den Zugriff auf die gleichen Informationen, die auch in der Tabelle „SigninLogs“ verfügbar sind. Wählen Sie zum Aufrufen des Blatts „Anmeldeprotokolle“ im Azure-Portal die Option „Microsoft Entra ID“ und anschließend in der Überwachungsgruppe die Option „Anmeldeprotokolle“ aus. Die Abfrageausgabe enthält Standardspalten mit Informationen zu Datum, Benutzer, Anwendung, Status und bedingtem Zugriff (angewendete Richtlinie).